Google Cloud bietet mit Identity and Access Management (IAM) die Möglichkeit, bestimmten Google Cloud-Ressourcen Zugriffsrechte zuzuweisen und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Auf dieser Seite wird beschrieben, wie Cloud SQL in IAM eingebunden ist und wie Sie IAM für die Verwaltung des Zugriffs auf Cloud SQL-Ressourcen und für die Datenbankauthentifizierung verwenden können. Eine detaillierte Beschreibung von Google Cloud IAM finden Sie in der IAM-Dokumentation.
Cloud SQL bietet eine Reihe vordefinierter Rollen, mit denen Sie den Zugriff auf Ihre Cloud SQL-Ressourcen steuern können. Sie können auch eigene benutzerdefinierte Rollen erstellen, wenn die vordefinierten Rollen keine Informationen zu den benötigten Gruppen von Berechtigungen enthalten. Zusätzlich stehen Ihnen die einfachen Legacy-Rollen (Bearbeiter, Betrachter und Inhaber) nach wie vor zur Verfügung. Sie bieten aber nicht die gleiche präzisen Steuerungsmöglichkeiten wie die Cloud SQL-Rollen. Insbesondere ermöglichen die einfachen Rollen Zugriff auf Ressourcen in Google Cloud insgesamt und nicht nur für Cloud SQL. Weitere Informationen zu einfachen Google Cloud-Rollen finden Sie unter Einfache Rollen.
Sie können eine IAM-Richtlinie auf jeder Ebene der Ressourcenhierarchie festlegen: der Organisationsebene, der Ordnerebene oder der Projektebene. Ressourcen übernehmen die Richtlinien aller ihrer übergeordneten Ressourcen.
IAM-Referenzen für Cloud SQL
- Erforderliche Berechtigungen für allgemeine Aufgaben in der Google Cloud Console
- Erforderliche Berechtigungen für
gcloud sql
-Befehle. - Erforderliche Berechtigungen für Cloud SQL Admin API-Methoden
- Vordefinierte Cloud SQL-IAM-Rollen
- Berechtigungen und ihre Rollen
- Benutzerdefinierte Rollen
Konzepte der IAM-Authentifizierung
Bei Verwendung der IAM-Authentifizierung wird dem Endnutzer die Berechtigung für den Zugriff auf eine Ressource (eine Cloud SQL-Instanz) nicht direkt gewährt. Stattdessen werden Berechtigungen in Rollen gruppiert, die dann Hauptkonten zugewiesen werden. Weitere Informationen finden Sie in der IAM-Übersicht.
Administratoren, bei denen sich Nutzer über die IAM-Datenbankauthentifizierung anmelden, können mit IAM die Zugriffssteuerung für ihre Instanzen zentral über IAM-Richtlinien verwalten.
IAM-Richtlinien umfassen die folgenden Entitäten:
- Hauptkonten. In Cloud SQL können Sie verschiedene Arten von IAM-Hauptkonten verwenden: Nutzerkonto, Dienstkonto (für Anwendungen) oder Gruppe. Weitere Informationen finden Sie unter Identitätskonzepte.
- Rollen: Eine Rolle ist eine Sammlung von Berechtigungen. Sie können Hauptkonten Rollen zuweisen, um ihnen die Berechtigungen zu geben, die für bestimmte Aufgaben erforderlich sind.
Beispiel: Mit der IAM-Datenbankauthentifizierung benötigt ein Hauptkonto die Berechtigung
cloudsql.instances.login
, um sich bei einer Instanz anzumelden, die in der Rolle Cloud SQL-Instanznutzer enthalten ist. Um die Berechtigung zu erhalten, binden Sie den Nutzer, das Dienstkonto oder die Gruppe an die vordefinierte Cloud SQL-Rolle oder eine benutzerdefinierte Rolle, die die Berechtigung enthält. Weitere Informationen zu IAM-Rollen finden Sie unter Rollen. - Ressourcen: Die Ressourcen, auf die Hauptkonten zugreifen, sind Cloud SQL-Instanzen. Standardmäßig werden IAM-Richtlinienbindungen auf Projektebene angewendet, sodass Hauptkonten Rollenberechtigungen für alle Cloud SQL-Instanzen im Projekt erhalten.
Authentifizierung der IAM-Datenbank
Bei der Datenbankauthentifizierung wird die Identität eines Nutzers überprüft, der versucht, auf Datenbanken zuzugreifen. In Cloud SQL können Sie die folgenden Arten der Datenbankauthentifizierung für Datenbanknutzer verwenden:
- Die integrierte Authentifizierung der Datenbank verwendet einen Nutzernamen und ein Passwort, um einen Datenbanknutzer zu authentifizieren.
- Die IAM-Datenbankauthentifizierung verwendet IAM, um einen Nutzer mithilfe eines Zugriffstokens zu authentifizieren. Sie haben zwei Möglichkeiten, Nutzer oder Dienstkonten zu verwalten.
- Einzelperson: Wenn Sie die IAM-Datenbankauthentifizierung verwenden, gewähren Sie standardmäßig IAM-Rollen und weisen einzelnen Nutzern und Dienstkonten Datenbankberechtigungen zu. Sie fügen Instanzen einzelne Konten hinzu und verwalten die Berechtigungen jedes Kontos separat.
- Nach Gruppe: Mit der IAM-Gruppenauthentifizierung können Sie den Zugriff auf Cloud SQL-Instanzen auf Gruppenebene steuern. Sie können einer Cloud Identity-Gruppe beispielsweise Rollen für die Identitäts- und Zugriffsverwaltung und Datenbankberechtigungen zuweisen. Alle Nutzer und Dienstkonten in der Cloud Identity-Gruppe übernehmen die IAM-Rollen und Datenbankberechtigungen, die der Gruppe zugewiesen sind.
Optionen für die Datenbankauthentifizierung vergleichen
In der folgenden Tabelle werden verschiedene Methoden zur Datenbankauthentifizierung für Cloud SQL verglichen.
Feature | Integrierte Datenbankauthentifizierung | IAM-Datenbankauthentifizierung (individuell) | IAM-Gruppenauthentifizierung |
---|---|---|---|
Authentifizierungsmethode | Passwort | Temporäres Authentifizierungstoken | Temporäres Authentifizierungstoken |
Verschlüsselung des Netzwerkverkehrs | SSL nicht erforderlich | SSL erforderlich | SSL erforderlich |
Nutzerverwaltung | Manuell | Zentral über IAM | Zentral über IAM- und Cloud Identity-Gruppen |
IAM-Gruppenauthentifizierung
Mit der IAM-Gruppenauthentifizierung können Sie Cloud SQL-Nutzer auf Gruppenebene verwalten. Ein Beispiel für eine Gruppe ist eine Cloud Identity-Gruppe. Dieses Feature vereinfacht die Nutzerverwaltung für die Datenbank. Sie können die Cloud SQL-IAM-Rolle oder die Berechtigungen für mehrere Konten gleichzeitig verwalten, anstatt jedes Nutzer- oder Dienstkonto einzeln aktualisieren zu müssen. Sie können die Datenbankberechtigungen auch für eine Cloud Identity-Gruppe gewähren und widerrufen. Alle neuen Konten, die Sie der Cloud Identity-Gruppe hinzufügen, übernehmen die Berechtigungen dieser Gruppe.
Mit der IAM-Gruppenauthentifizierung können Sie Folgendes tun:
- Sie können einer Gruppe einen Nutzer hinzufügen und ihm automatisch die IAM-Rollen und Datenbankberechtigungen zuweisen.
- Entfernen Sie einen Nutzer aus einer Gruppe, um seinen Anmeldezugriff und seine Datenbankberechtigungen aus Cloud SQL-Datenbanken zu entfernen.
- Sie brauchen Anmelde- oder Datenbankberechtigungen einer Gruppe nur einmal zu erteilen, anstatt sie verschiedenen Nutzern mehrmals erteilen zu müssen.
- Anmeldeberechtigungen oder den Zugriff auf ein Datenbankobjekt für eine Gruppe gleichzeitig entfernen
Obwohl IAM-Rollen und -Berechtigungen auf Gruppenebene zugewiesen werden, verwenden Nutzer und Dienstkonten ihre individuellen IAM-Konten und -Anmeldedaten und nicht ein freigegebenes Gruppenkonto zur Anmeldung. Cloud SQL erstellt nach der ersten Anmeldung ein Datenbankkonto für diesen Nutzer oder dieses Dienstkonto in der Instanz.
In Audit-Logs werden die individuellen Anmelde- und Datenbankaktivitäten für jeden Nutzer oder jedes Dienstkonto angezeigt. Für Prüfzwecke können Sie sehen, welches Konto welche Aktion in Ihrer Datenbank ausgeführt hat.
Weitere Informationen zum Arbeiten mit Cloud Identity-Gruppen finden Sie unter Cloud Identity – Übersicht.
Wenn Sie einer Gruppe einen Nutzer oder ein Dienstkonto hinzufügen, ändert sich in Cloud SQL Folgendes:
- Wenn Sie der Gruppe bereits IAM-Anmeldeberechtigungen erteilt haben, kann sich das Nutzer- oder Dienstkonto in der Cloud SQL-Instanz anmelden, da es zur Gruppe gehört.
- Der Nutzer übernimmt automatisch alle Datenbankberechtigungen, die der Gruppe gewährt wurden.
Wenn Sie einen Nutzer oder ein Dienstkonto aus der Gruppe entfernen, ändert sich in Cloud SQL die folgende:
- Der Nutzer verliert alle Datenbankberechtigungen, die zuvor als Mitglied der Gruppe übernommen wurden.
- Der Nutzer kann sich möglicherweise weiterhin anmelden, wenn er über andere Gruppenmitgliedschaften IAM-Anmeldeberechtigungen für die Cloud SQL-Instanz erhält. Der Nutzer erhält bei der Anmeldung jedoch keine Datenbankberechtigungen aus seiner früheren Gruppenmitgliedschaft.
Best Practices für die IAM-Gruppenauthentifizierung
- Wenn Sie die Anmeldeberechtigung (
cloudsql.instances.login
) für eine IAM-Gruppe in Cloud Identity widerrufen, müssen Sie die Gruppe auch aus der Cloud SQL-Instanz löschen. - Wenn Sie eine Gruppe aus einer Cloud Identity löschen, müssen Sie diese Gruppe auch aus der Cloud SQL-Instanz löschen.
- Verwenden Sie Gruppen, um die rollenbasierte Zugriffssteuerung in Ihrer Datenbank zu konfigurieren. Weisen Sie der Gruppe immer nur die erforderlichen Berechtigungen zu.
- Weisen Sie integrierten Nutzern keine IAM-Gruppenauthentifizierungsrollen zu. Wenn Sie beispielsweise einen integrierten Nutzer (
user-a
) haben und einen Nutzer für die IAM-Gruppenauthentifizierung (user-b@example.com
) erstellen, sollten Sieuser-a
nicht die Rolleuser-b@example.com
zuweisen.
Einschränkungen für die IAM-Gruppenauthentifizierung
- Sie können einer Instanz maximal 200 IAM-Gruppen hinzufügen.
- Sie können keine einzelnen IAM-Nutzer oder Dienstkonten hinzufügen, die zu einer Gruppe in derselben Instanz gehören. Mit anderen Worten: Sie können kein Konto vom Typ
CLOUD_IAM_USER
oderCLOUD_IAM_SERVICE_ACCOUNT
hinzufügen, wenn bereits ein identisches Konto vom TypCLOUD_IAM_GROUP_USER
oderCLOUD_IAM_GROUP_SERVICE_ACCOUNT
vorhanden ist. - Wenn in einer Instanz bereits ein individuelles Konto vom Typ
CLOUD_IAM_USER
oderCLOUD_IAM_SERVICE_ACCOUNT
vorhanden ist, kann es nicht für die IAM-Gruppenauthentifizierung verwendet werden. Diese Nutzertypen übernehmen keine IAM-Rollen und Datenbankberechtigungen von einer Gruppe.Entfernen Sie den einzelnen IAM-Nutzer oder das einzelne IAM-Dienstkonto, um das Problem zu beheben und das Konto mit der IAM-Gruppenauthentifizierung zu verwenden.
Weitere Informationen finden Sie unter Ein vorhandener IAM-Nutzer oder ein vorhandenes Dienstkonto übernimmt nicht die Datenbankberechtigungen, die seiner Gruppe gewährt werden. - Änderungen an der Cloud Identity-Gruppenmitgliedschaft, z. B. das Hinzufügen eines Kontos, brauchen etwa 15 Minuten, um wirksam zu werden. Dieser Zeitraum kommt zu der Zeit hinzu, die für IAM-Änderungen erforderlich ist.
Automatische IAM-Datenbankauthentifizierung im Vergleich zur manuellen Authentifizierung
Cloud SQL for MySQL bietet zwei Optionen für die IAM-Datenbankauthentifizierung: automatisch und manuell.
Automatische IAM-Datenbankauthentifizierung
Mit der automatischen IAM-Datenbankauthentifizierung können Sie das Anfordern und Verwalten von Zugriffstokens an einen Cloud SQL-Connector wie den Cloud SQL-Auth-Proxy oder einen der Cloud SQL Language Connectors übergeben. Bei der automatischen IAM-Datenbankauthentifizierung müssen Nutzer nur den Nutzernamen der IAM-Datenbank in einer Verbindungsanfrage vom Client übergeben. Der Connector sendet die Zugriffstokeninformationen für das Passwortattribut im Namen des Clients.
Für die automatische IAM-Datenbankauthentifizierung ist ein Cloud SQL-Connector erforderlich. Sie wird vom Cloud SQL Auth-Proxy, dem Go-Connector, dem Java-Connector und dem Python-Connector unterstützt.
Als sicherste und zuverlässigste Nutzungsmöglichkeit empfehlen wir die Verwendung der automatischen IAM-Datenbankauthentifizierung. Für die IAM-Datenbankauthentifizierung werden OAuth 2.0-Zugriffstokens genutzt. Diese sind nur temporär und lediglich für eine Stunde gültig. Cloud SQL-Connectors können diese Tokens anfordern und aktualisieren, wodurch sichergestellt ist, dass langlebige Prozesse oder Anwendungen, die Verbindungs-Pooling nutzen, auf stabile Verbindungen zurückgreifen können. Die automatische Authentifizierung der IAM-Datenbank wird anstelle der manuellen Authentifizierung dringend empfohlen.
Weitere Informationen finden Sie unter Mit automatischer IAM-Datenbankauthentifizierung anmelden.
Manuelle IAM-Datenbankauthentifizierung
Für die manuelle IAM-Datenbankauthentifizierung muss das IAM-Hauptkonto das Zugriffstoken für das Passwortattribut in der Clientverbindungsanfrage explizit übergeben. Hauptkonten müssen sich zuerst in Google Cloud anmelden und das Zugriffstoken explizit von IAM anfordern.
Mit der gcloud CLI haben Sie die Möglichkeit, explizit ein OAuth 2.0-Token im Geltungsbereich der Cloud SQL Admin API anzufordern, das für die Anmeldung bei der Datenbank verwendet wird. Wenn Sie sich als Datenbanknutzer mit der IAM-Datenbankauthentifizierung anmelden, verwenden Sie Ihre E-Mail-Adresse als Nutzernamen und das Zugriffstoken als Passwort. Sie können diese Methode entweder mit einer direkten Verbindung zur Datenbank oder mit einem Cloud SQL-Connector verwenden.
Die Anmeldung mit IAM-Datenbankauthentifizierung kann nur über eine SSL-Verbindung erfolgen.
Weitere Informationen finden Sie unter Mit manueller IAM-Datenbankauthentifizierung anmelden.
Nutzer- und Dienstkontoverwaltung
Damit Nutzer und Dienstkonten mithilfe der IAM-Datenbankauthentifizierung Zugriff auf Datenbanken in einer Instanz erhalten, müssen Sie sie der Instanz oder einer Gruppe hinzufügen, die Zugriff auf die Instanz hat. Weitere Informationen finden Sie unter Nutzer- oder Dienstkonto mit IAM hinzufügen.
Wenn Sie über die Google Cloud Console Nutzer oder Dienstkonten hinzufügen, werden Sie von Cloud SQL aufgefordert, dem Nutzer die Rolle „Cloud SQL-Nutzer“ zuzuweisen. Diese Rolle ist erforderlich, damit sich Nutzer bei der Instanz anmelden können.
Nachdem Sie den IAM-Nutzer zur Datenbank hinzugefügt haben, müssen Sie manuell Datenbankberechtigungen gewähren. Verwenden Sie den MySQL-Befehl GRANT, um andere Datenbankberechtigungen zu gewähren.Instanzkonfiguration für die Cloud SQL-IAM-Datenbankauthentifizierung
Sie können die IAM-Datenbankauthentifizierung für eine Instanz mit dem Flag cloudsql_iam_authentication
aktivieren. Wenn Sie dieses Flag aktivieren, ermöglicht die Instanz Anmeldungen von Konten, die für die IAM-Datenbankauthentifizierung konfiguriert sind.
Dieses Flag ist für die IAM-Gruppenauthentifizierung und die IAM-Datenbankauthentifizierung erforderlich.
Durch das Festlegen des Flags wird nicht verhindert, dass vorhandene Nicht-IAM-Nutzer ihre Nutzernamen und Passwörter zur Anmeldung verwenden. Wenn Sie allerdings dieses Flag für die Instanz deaktivieren, haben die Nutzer, die Sie zuvor über die IAM-Datenbankauthentifizierung hinzugefügt wurden, keinen Zugriff mehr auf die Instanz. Weitere Informationen finden Sie unter Instanzen für die IAM-Datenbankauthentifizierung konfigurieren.
Cloud SQL-IAM-Datenbankauthentifizierung für verschiedene Instanzszenarien
Lesereplikate | Die IAM-Datenbankauthentifizierung wird in einem Lesereplikat nicht automatisch aktiviert, auch wenn sie in der primären Instanz aktiviert ist. Nachdem Sie ein Lesereplikat erstellt haben, müssen Sie die IAM-Datenbankauthentifizierung hinzufügen. Weitere Informationen finden Sie unter Lesereplikatanmeldungen für die IAM-Datenbankauthentifizierung konfigurieren. |
Wiederhergestellte Instanzen | Wenn eine Instanz zuvor gesichert und später in derselben oder einer anderen Instanz im selben Projekt wiederhergestellt wurde, gelten die aktuellen Autorisierungen für die Nutzeranmeldung. Wenn Sie eine Sicherung in einer neuen Instanz in einem anderen Projekt wiederherstellen, müssen Sie die Nutzerautorisierungen für die neue Instanz einrichten. Weitere Informationen finden Sie unter Nutzer- oder Dienstkonto mit IAM-Datenbankauthentifizierung hinzufügen. |
Informationen zu IAM Conditions
Mit IAM Conditions können Sie Rollen anhand einer Vielzahl von Attributen zuweisen. Sie können damit beispielsweise den Zugriff nur zu bestimmten Datumsangaben und Uhrzeiten zulassen oder nur auf Cloud SQL-Ressourcen mit bestimmten Namen zugreifen.
Weitere Informationen zu IAM Conditions finden Sie auf der Seite Übersicht über IAM Conditions. Weitere Informationen zur Verwendung von IAM Conditions mit Cloud SQL, einschließlich Beispielen.
Mit Cloud-Audit-Logs arbeiten
Sie können Audit-Logs verwenden, um Datensätze über den Datenzugriff, einschließlich Anmeldungen, aufzubewahren. Cloud-Audit-Logs sind standardmäßig deaktiviert. Sie müssen Audit-Logs zum Datenzugriff für das Tracking von Anmeldungen aktivieren. Die Verwendung von Audit-Logging zu diesem Zweck verursacht Kosten für das Logging von Daten. Weitere Informationen finden Sie unter Audit-Logs, Audit-Logs zum Datenzugriff konfigurieren und den Preisen für das Logging von Daten.
Beschränkungen
- Die Anmeldedaten für ein Nutzerkonto mit IAM-Datenbankauthentifizierung müssen ausschließlich aus Kleinbuchstaben bestehen. Beispiel:
example-user@example.com
Example-User@example.com
ist nicht zulässig. - Aus Sicherheitsgründen sind Anmeldungen mit der IAM-Datenbankauthentifizierung nur über eine SSL-Verbindung möglich. Unverschlüsselte Verbindungen werden abgelehnt.
- Für jede Instanz gilt ein Anmeldungskontingent pro Minute, das sowohl erfolgreiche als auch fehlgeschlagene Anmeldungen umfasst. Wenn das Kontingent überschritten wird, sind Anmeldungen vorübergehend nicht möglich. Wir empfehlen, häufige Anmeldungen zu vermeiden und Anmeldungen mithilfe von autorisierten Netzwerken einzuschränken. Das Kontingent für die Autorisierung von Anmeldungen beträgt 12.000 pro Minute und Instanz.
- Die IAM-Datenbankauthentifizierung wird für Instanzen, die MySQL 5.6 verwenden, nicht unterstützt.
Nächste Schritte
- Instanzen für die IAM-Datenbankauthentifizierung konfigurieren
- Nutzer- oder Dienstkonto mit IAM-Datenbankauthentifizierung zu einer Datenbank hinzufügen
- Mit der IAM-Datenbankauthentifizierung bei einer Cloud SQL-Datenbank anmelden
- Anmeldedaten in Audit-Logs ansehen